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Informatiebeveiligingsbeleid gemeente Giessenlanden 

Tijdens de vergadering van 10 maart 2015 is door het college van B&W vastgesteld: 

- Informatiebeveiligingsbeleid gemeente Giessenlanden 1.0 

Het beleid treedt in werking op woensdag 25 maart. Het beleid is op deze pagina als tekst te lezen, en 
als pdf (bijlage). 

Versienummer 

1.0 

Versiedatum 

Februari 2014 

Bron 

Dit informatiebeveiligingsbeleid maakt onderdeel uit van de operationele variant van de Baseline Infor¬ 
matiebeveiliging Nederlandse Gemeenten (BIG). 

In samenwerking met 

De producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten 
(BIG) worden vervaardigd in samenwerking met: 



TASK FORCE 



Voorwoord 

De Informatiebeveiligingsdienst voor gemeenten (IBD) is een gezamenlijk initiatief van de Vereniging 
van Nederlandse Gemeenten (VNG) en het Kwaliteitsinstituut Nederlandse Gemeenten (KING) en actief 
sinds 1 januari 2013. Aanleiding voor de oprichting van de IBD vormen enerzijds de leerpunten uit een 
aantal grote incidenten op informatiebeveiligingsvlak en anderzijds de visie Digitale Overheid 2017. 

De IBD is er voor alle gemeenten en richt zich op bewustwording en concrete ondersteuning om ge¬ 
meenten te helpen hun informatiebeveiliging naar een hoger plan te tillen. 

De IBD heeft drie doelen: 

l.het preventief en structureel ondersteunen van gemeenten bij het opbouwen en 
onderhouden van bewustzijn als het gaat om informatiebeveiliging. 

1. het leveren van integrale coördinatie en concrete ondersteuning op gemeente specifieke aspecten 
in geval van incidenten en crisissituaties op het vlak van informatiebeveiliging. 

2. het bieden van gerichte projectmatige ondersteuning op deelgebieden om informatiebeveiliging 
in de praktijk van alle dag naar een hoger plan te tillen. De ondersteuning die de IBD biedt bij het 
ICT-beveiligingsassessment DigiD is een voorbeeld van zo'n project. 

Hoe realiseert de IBD haar doelen? 

Om invulling te kunnen geven aan haar doelen is door de IBD op basis van de Baseline Informatiebe¬ 
veiliging Rijksdienst (BIR) een vertaalslag gemaakt naar een baseline voor de gemeentelijke markt. 
Deze Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) betreft twee varianten, een Strate¬ 
gische- én een Tactische Baseline. Beide varianten van de BIG zijn beschikbaar voor alle gemeenten 
op de community van de IBD, zodat door iedere gemeente tot implementatie van de BIG kan worden 
overgegaan. Bestuur en management hebben met deze baseline een instrument in handen waarmee 
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zij in staat zijn om te meten of de organisatie 'in control' is op het gebied van informatiebeveiliging. 
Om de implementatie van de Strategische en Tactische Baseline te ondersteunen, zijn door de IBD in 
samenwerking met de Taskforce Bestuur en Informatieveiligheid Dienstverlening producten ontwikkeld 
op operationeel niveau. Dit heeft een productenportfolio opgeleverd, genaamd de Operationele Base¬ 
line Nederlandse Gemeenten. Onderhavig product is onderdeel van het productenportfolio. 

Naast een productenportfolio, heeft de IBD voor gemeenten ook een dienstenportfolio ontwikkeld. Voor 
een volledig overzicht van het producten- en dienstenportfolio, kunt u terecht op de website van de 
IBD. 

De gemeente is zelf verantwoordelijk voor het opstellen en/of uitvoeren en/of handhaven van de regels. 
Hierbij geldt: 

Er is wetgeving waar altijd aan voldaan moet worden, zoals niet uitputtend: GBA, SUWI, BAG en 
PUN, maar ook de archiefwet. 

Er is een gemeenschappelijk normenkader als basis: de Baseline Informatiebeveiliging Nederlandse 
Gemeenten (BIG). 

De gemeente stelt dit normenkader vast, waarbij er ruimte is voor afweging en prioritering op 
basis van het 'pas toe of leg uit' principe. 

Leeswijzer 

Doel 

Dit document geeft algemene beleidsuitgangspunten over informatiebeveiliging van de gemeente. 

Doelgroep 

Alle in- en externe medewerkers van de gemeente. 

Relatie met overige producten 

Dit product legt de basis voor het vakgebied 'informatiebeveiliging' binnen de gemeente en is afgeleid 
van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). 

Het document 'Informatiebeveiligingsbeleid voor gemeenten' is de kapstok voor verder verdere inbedding 
van een informatiebeveiligingsbeleid, de standaarden, de procedures en de processen. 

• Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) 

° Strategische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten 
° Tactische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten 

• Implementatie BIG 

• GAP-analyse 

• Toelichting op GAP-analyse 

• Geheimhoudingsverklaringen 

Maatregelen tactische variant Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) 

Maatregel 5.1, informatiebeveiligingsbeleid 

Inhoud 

Inleiding 6 

1 Uitgangspunten informatiebeveiliging gemeente Giessenlanden 10 

20rganisatie van de informatiebeveiliging 13 

2. 1 Interne organisatie 13 

2. 2 Taken en rollen 14 

2. 3 Functioneel overleg 15 

2. 4 Rapportage en escalatielijn voor IB 15 

3Beheervan bedrijfsmiddelen 18 
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3. 1 Verantwoordelijkheid voor bedrijfsmiddelen 18 

3. 2 Classificatie van informatie 19 

4Beveiliging van personeel 22 

SFysieke beveiliging en beveiliging van de omgeving 24 
6Beveiliging van apparatuur en informatie 26 

6. 1 Beheersmaatregelen 26 

6. 2 Beheer van de dienstverlening door een derde partij 29 

6. 3 Behandeling van media 30 

6. 4 Uitwisseling van informatie 31 

7Logische toegangsbeveiliging 32 

7. 1 Authenticatie en autorisatie 32 

7. 2 Externe toegang 33 

7. 3 Mobiel en thuiswerken 33 

7. 4 Overige maatregelen 33 

7. 5 Beveiliging van informatiesystemen (software) 33 
SBeveiligingsincidenten 35 

8. 1 Melding en registratie 35 

8. 2 Alarmfasen 35 

9Bedrijfscontinuïteit 37 

lONaleving 38 

10. 1 Organisatorische aspecten 38 

10. 2 (Wettelijke) kaders 38 

11 Bijlage: Relevante documenten en bronnen 40 

11. 1 Intern 40 

11. 2 Extern 40 

Inleiding 

Dit document geeft algemene beleidsuitgangspunten over informatiebeveiliging. Deze uitgangspunten 
hebben een sterk normerend karakter en geven keuzes weer. Met dit document kan de gemeente ver¬ 
dere in- en aanvulling geven aan haar beleid. Dit document is het optimum beleid gebaseerd op de 
BIG. Het is mogelijk dat een gemeente meer doelstellingen, maatregelen, risico's en uitgangspunten 
wil opnemen. Gemeentelijke organisaties verschillen immers qua structuur en grootte. In dit document 
is een aanzienlijk aantal beleidsuitgangspunten nader uitgewerkt en zijn beveiligingseisen en -maatre¬ 
gelen opgenomen, die gemeentebreed voor alle processen en systemen gelden. Onderdeel van dit 
document is een beheerstructuur voor informatiebeveiliging, waarmee verantwoordelijkheden voor 
informatiebeveiliging worden belegd en informatiebeveiliging wordt ingebed in de reguliere planning¬ 
en controicyclus binnen de (kwaliteitshandhaving van de) bedrijfsvoeringsprocessen. 

De toegepaste hoofdstukken uit de Strategische variant van de Baseline Informatiebeveiliging voor 
Gemeenten: 

5 Beveiligingsbeleid; 

6 Organisatie van informatiebeveiliging; 

7 Beheer van bedrijfsmiddelen; 

8 Beveiliging van personeel; 

9 Fysieke beveiliging en beveiliging van de omgeving; 
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10 Beheer van communicatie- en bedieningsprocessen; 

11 Toegangsbeveiliging; 

12 Verwerving, ontwikkeling en onderhoud van informatiesystemen; 

13 Beheer van informatiebeveiligingsincidenten; 

14 Bedrijfscontinuïteitsbeheer; 

15 Naleving. 

Informatiebeveiliging 

Informatiebeveiliging is de verzamelnaam voor de processen, die ingericht worden om de betrouwbaar¬ 
heid van gemeentelijke processen, de gebruikte informatiesystemen en de daarin opgeslagen gegevens 
te beschermen tegen al dan niet opzettelijk onheil. Het begrip 'informatiebeveiliging' heeft betrekking 
op: 

beschikbaarheid/continuïteit: het zorg dragen voor het beschikbaar zijn van informatie en informatie 
verwerkende bedrijfsmiddelen op de juiste tijd en plaats voor de gebruikers; 

exclusiviteit / vertrouwelijkheid: het beschermen van informatie tegen kennisname en mutatie door 
onbevoegden. Informatie is alleen toegankelijk voor degenen die hiertoe geautoriseerd zijn; 

integriteit /betrouwbaarheid: het waarborgen van de correctheid, volledigheid, tijdigheid en contro¬ 
leerbaarheid van informatie en informatieverwerking. 

Waarom informatiebeveiliging? 

Informatie is één van de belangrijkste bedrijfsmiddelen van een gemeente. Toegankelijke en betrouw¬ 
bare overheidsinformatie is essentieel voor een gemeente, die zich verantwoordelijk gedraagt, aan¬ 
spreekbaar en servicegericht is, die transparant en proactief verantwoording aflegt aan burgers en 
raadsleden en die met minimale middelen maximale resultaten behaalt. De bescherming van waarde- 
volle informatie is hetgeen waar het uiteindelijk om gaat. Hoe waardevoller de informatie is, hoe meer 
maatregelen er getroffen moeten worden. 

Reikwijdte en afbakening informatiebeveiliging 

Informatiebeveiliging is meer dan ICT, computers en automatisering. Het gaat om alle uitingsvormen 
van informatie (analoog, digitaal, tekst, video, geluid, geheugen, kennis), alle mogelijke informatiedragers 
(papier, elektronisch, foto, film, CD, DVD, beeldscherm et cetera) en alle informatie verwerkende systemen 
(de programmatuur, systeemprogrammatuur, databases, hardware, bijbehorende bedrijfsmiddelen), 
maar vooral ook mensen en processen. Studies laten zien dat de meeste incidenten niet voortkomen 
uit gebrekkige techniek, maar vooral door menselijk handelen en een tekort schietende organisatie. 
Voorbeelden van informatiebeveiligingsmaatregelen zijn: clean desk policy, hoe om te gaan met mo¬ 
biele devices en aanwijzingen voor telewerken. 

Opbouw document 

Het document is opgebouwd uit een voorbeeld van een informatiebeveiligingsbeleid en de bijbehorende 
bijlage op het beleidsdocument bestaande uit 10 separate hoofdstukken die in de pas lopen met de 
BIG. 

Informatiebeveiligingsbeleid Giessenlanden 

Het bestuur en management speelt een cruciale rol bij het uitvoeren van dit informatiebeveiligingsbeleid. 
Zo maakt het management een inschatting van het belang dat de verschillende delen van de informa¬ 
tievoorziening voor de gemeente hebben, de risico's die de gemeente hiermee loopt en welke van deze 
risico's onacceptabel hoog zijn. Op basis hiervan zet het management dit beleid voor informatiebevei¬ 
liging op, draagt dit uit naar de organisatie en ondersteunt en bewaakt de uitvoering ervan. 

Het gehele gemeentelijk management geeft een duidelijke richting aan informatiebeveiliging en demon¬ 
streert dat zij informatiebeveiliging ondersteunt en zich hierbij betrokken voelt, door het uitbrengen en 
handhaven van een informatiebeveiligingsbeleid van en voor de hele gemeente. Dit beleid is van toe- 
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passing op de gehele organisatie, alle processen, organisatieonderdelen, objecten, informatiesystemen 
en gegevens(verzamelingen). Het informatiebeveiligingsbeleid van is in lijn met het algemene beleid 
van de gemeente en de relevante landelijke en Europese wet- en regelgeving. Dit beleid bevat een bij¬ 
lage met nadere aanwijzingen. 

De gemeente is zelf verantwoordelijk voor het opstellen en/of uitvoeren en/of handhaven van het beleid. 
Hierbij geldt: 

Er is wetgeving waar altijd aan voldaan moet worden, zoals niet uitputtend: GBA, SUWI, BAG en PUN, 
maar ook de archiefwet. 

Er is een gemeenschappelijk normenkader als basis: de Baseline Informatiebeveiliging Nederlandse 
Gemeenten (BIG). 

De gemeente stelt dit normenkader vast, waarbij er ruimte is voor afweging en prioritering op basis 
van het 'pas toe of leg uit' principe. 

De volgende uitgangspunten zijn ontleend aan de Code voor Informatiebeveiliging (NEN/ISO 27002:2007) 
en de BIG: 

1. Alle informatie en informatiesystemen zijn van kritiek en vitaal belang voor de gemeente. De 
verantwoordelijkheid voor informatiebeveiliging ligt bij het (lijn)management, met het College 
van B&W als eindverantwoordelijke. De verantwoordelijkheden voor de bescherming van gegevens 
en voor het uitvoeren van beveiligingsprocedures zijn expliciet gedefinieerd. 

2. Door periodieke controle, organisatie brede planning én coördinatie wordt de kwaliteit van de 
informatievoorziening verankerd binnen de organisatie. Het informatiebeveiligingsbeleid vormt 
samen met het informatiebeveiligingsplan het fundament onder een betrouwbare informatievoor¬ 
ziening. In het informatiebeveiligingsplan wordt de betrouwbaarheid van de informatievoorziening 
organisatiebreed benaderd. Het plan wordt periodiek bijgesteld op basis van nieuwe ontwikkelin¬ 
gen, registraties in het incidentenregister en bestaande risicoanalyses. 

3. Informatiebeveiliging is een continu verbeterproces. 'Plan, do, check en act' vormen samen het 
management systeem van informatiebeveiliging. 

4. De informatiebeveiligingsfunctionaris/Chief Information Security Officer (CISO) ondersteunt 
vanuit een onafhankelijke positie de organisatie bij het bewaken en verhogen van de betrouw¬ 
baarheid van de informatievoorziening en rapporteert hierover. 

5. De gemeente stelt de benodigde mensen en middelen beschikbaar om haar eigendommen en 
werkprocessen te kunnen beveiligen volgens de wijze gesteld in dit beleid. 

6. Regels en verantwoordelijkheden voor het beveiligingsbeleid dienen te worden vastgelegd en 
vastgesteld. Alle medewerkers van de gemeente worden getraind in het gebruik van beveiligings¬ 
procedures. 

7. Iedere medewerker, zowel vast als tijdelijk, intern of extern is verplicht waar nodig gegevens en 
informatiesystemen te beschermen tegen ongeautoriseerde toegang, gebruik, verandering, 
openbaring, vernietiging, verlies of overdracht en bij vermeende inbreuken hiervan melding te 
maken. 

Dit IB-beleid treedt in werking na vaststelling door college van B&W. 

Aldus vastgesteld door burgemeester en wethouders van Giessenlanden op [datum], 

Secretaris Burgemeester (wnd) 

portefeuillehouder 

Drs. M. Does MCM, 

Uitgangspunten informatiebeveiliging gemeente Giessenlanden 
Samenhang 

Deze hoofdstukken vormen een onlosmakelijk geheel met het informatiebeveiligingsbeleid van de ge¬ 
meente. Deze hoofdstukken corresponderen met de hoofdstukken 5 tot en met 15 uit de Tactische variant 
van de BIG. Ze geven een nadere invulling van het gemeentelijk informatiebeveiligingsbeleid. 

Het belang van informatie(veiligheid) 
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Informatie is één van de voornaamste bedrijfsmiddelen van de gemeente Giessenlanden. Het verlies 
van gegevens, uitval van ICT, of het door onbevoegden kennisnemen of manipuleren van bepaalde 
informatie kan ernstige gevolgen hebben voor de bedrijfsvoering maar ook leiden tot imagoschade. 
Ernstige incidenten hebben mogelijk negatieve gevolgen voor burgers, bedrijven, partners en de eigen 
organisatie met waarschijnlijk ook politieke consequenties. Informatieveiligheid is daarom van groot 
belang. Informatiebeveiliging (IB) is het proces dat dit belang dient. 

Visie 

De komende jaren zet de gemeente Giessenlanden in op het verhogen van informatieveiligheid en 
verdere professionalisering van de IB-functie in de organisatie. Een betrouwbare informatievoorziening 
is noodzakelijk voor het goed functioneren van de gemeente en de basis voor het beschermen van 
rechten van burgers en bedrijven. Dit vereist een integrale aanpak, goed opdrachtgeverschap en risico¬ 
bewustzijn. leder organisatieonderdeel is hierbij betrokken. 

Het proces van informatiebeveiliging is primair gericht op bescherming van gemeentelijke informatie, 
maar is tegelijkertijd een 'enabler'; het maakt bijvoorbeeld elektronische dienstverlening op verantwoorde 
wijze mogelijk, evenals nieuwe, innovatieve manieren van werken. De focus is informatie uitwisselen 
in alle verschijningsvormen, zoals elektronisch, op papier en mondeling. Het gaat niet alleen over be¬ 
scherming van privacy, maar ook over bescherming van vitale maatschappelijke functies die worden 
ondersteund met informatie (verkeer, vervoer, openbare orde en veiligheid, etc.). Het gaat ook niet alleen 
over ICT: verantwoord en bewust gedrag van medewerkers is essentieel voor informatieveiligheid. 

Doelstelling 

Dit informatiebeveiligingsbeleid (IB-beleid) is het kader voor passende technische en organisatorische 
maatregelen om gemeentelijke informatie te beschermen en te waarborgen, dat de gemeente voldoet 
aan relevante wet en regelgeving. Gemeente Giessenlanden streeft er naar om 'in control' te zijn en 
daarover op professionele wijze verantwoording af te leggen. In control betekent in dit verband dat de 
gemeente weet welke maatregelen genomen zijn en dat er een SMART-planning is van de maatregelen 
die nog niet genomen zijn en als laatste dat dit geheel verankerd is in de PDCA-cyclus. 

Uitgangspunten 

Het informatiebeveiligingsbeleid van de gemeente Giessenlanden is in lijn met het algemene beleid 
van de gemeente en de relevante landelijke en Europese wet- en regelgeving. 

Het beleid is gebaseerd op de Code voor Informatiebeveiliging (NEN/ISO 27002) en de Baseline Infor¬ 
matiebeveiliging Nederlandse Gemeenten (BIG). 

Het IB-beleid wordt vastgesteld door het college van B&W. De Directie herijkt periodiek het IB-beleid. 
Risicobenadering 

De aanpak van informatiebeveiliging (IB-beleid) in de gemeente Giessenlanden is 'risk based'. Dat wil 
zeggen: beveiligingsmaatregelen worden getroffen op basis van een toets tegen de Baseline Informa¬ 
tiebeveiliging Nederlandse Gemeenten (BIG) van VNG/KING (GAP-analyse). Indien een systeem meer 
maatregelen nodig heeft, wordt een risicoanalyse uitgevoerd. Daartoe inventariseert de proceseigenaar 
de kwetsbaarheid van zijn werkproces en de dreigingen die kunnen leiden tot een beveiligingsincident, 
rekening houdend met de beschermingseisen van de informatie. Het risico is de kans op beveiligings¬ 
incidenten en de impact daarvan op het werkproces en wordt bepaald door de proceseigenaar: risico 
= kans X impact. 

Doelgroepen 

Het gemeentelijk IB-beleid is bedoeld voor alle in- en externe medewerkers van de gemeente: 


Doelgroep 

College van B&W 
Directie 

Lijnmanagement {proceseigenaren) 
Medewerkers 
Gegevenseigenaren 
Beleidmakers 


Relevantie voor IB -beleid 

Integrale verantwoordelijkheid 
Kaderstelling en implementatie 

Sturing op informatieveiligheid en controle op naleving 
Gedrag en naleving 

Classificatie: bepalen van beschermingseisen van informatie 
Planvorming binnen IB-kaders 
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IB-functionarissen 
Personeelszaken 
Facilitaire zaken 

ICT-diensten (en -ontwikkelaars) 
Auditors 

Leveranciers en ketenpartners 


Dagelijkse coördinatie van IB 
Arbeidsvoorwaardelijke zaken 
Fysieke toegangsbeveiliging 
Technische beveiliging 


Onafhankelijke toetsing 
Compliance 


Scope 


De scope van dit beleid omvat alle gemeentelijke processen, onderliggende informatiesystemen, infor¬ 
matie en gegevens van de gemeente en externe partijen (bijv. politie), het gebruik daarvan door mede¬ 
werkers en (keten)partners in de meest brede zin van het woord, ongeacht locatie, tijdstip en gebruikte 
apparatuur. 

Dit gemeentelijke IB-beleid is een algemene basis. Voor bepaalde kerntaken gelden op grond van wet¬ 
en regelgeving specifieke (aanvullende) beveiligingseisen. 

IB-beleid en architectuur 

IB is onderdeel van de gemeente Ciessenlanden informatiearchitectuur en uitgewerkt in de IB-architec- 
tuur. Deze architectuur beschrijft onder meer principes, richtlijnen en maatregelen o.b.v. verschillende 
beschermingsniveaus (classificatie). 


Werking 


Dit IB-beleid treedt in werking na vaststelling door college van B&W. 


Organisatie van de informatiebeveiliging 


Interne organisatie 


Risico's 


Het niet expliciet beleggen van verantwoordelijkheden en bijbehorende activiteiten, procedures en in¬ 
strumenten, verhindert het daadwerkelijk en structureel uitvoeren en borgen van de beheersmaatregelen. 

Doelstelling: 

Beheren van de informatiebeveiliging (IB) binnen de organisatie. 

Er is een beheerkader vastgesteld om de implementatie van informatiebeveiliging in de organisatie te 
initiëren en te beheersen. 

Goedkeuring door de directie van het informatiebeveiligingsbeleid, de toewijzing van de rollen en de 
coördinatie en beoordeling van de implementatie van het beleid binnen de organisatie. 

Verantwoordelijkheden 

Het college van Burgemeester en Wethouders is integraal verantwoordelijk voor de beveiliging ( beslis¬ 
sende rol) van informatie binnen de werkprocessen van de gemeente. 

“Stelt kaders voor informatiebeveiliging (IB) op basis van landelijke en Europese wet- en regelgeving 
en landelijke normenkaders; 

De Directie (in sturende rol ) is verantwoordelijk voor kaderstelling en sturing. 


De directie: 


“ stuurt op concern risico's; 

“ controleert of de getroffen maatregelen overeenstemmen met de betrouwbaarheidseisen en of 
deze voldoende bescherming bieden; 

“ evalueert periodiek beleidskaders en stelt deze waar nodig bij. 
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De afdelingen binnen de gemeente (in vragende rol ) zijn verantwoordelijk voor de integrale beveiliging 
van hun organisatieonderdelen. 

De clusterdirectie: 

° stelt op basis van een expliciete risicoafweging betrouwbaarheidseisen voor zijn informatiesyste¬ 
men vast (classificatie); 

o is verantwoordelijk voor de keuze, de implementatie en het uitdragen van de maatregelen die 
voortvloeien uit de betrouwbaarheidseisen; 

o stuurt op beveiligingsbewustzijn, bedrijfscontinuïteit en naleving van regels en richtlijnen (gedrag 
en risicobewustzijn); 

° rapporteert over compliance aan wet- en regelgeving en algemeen beleid van de gemeente in de 
managementrapportages. 

De gemeentelijke Service Organisatie of gelijkwaardig (ICT, HR, bedrijfsvoering, etc., in uitvoerende 
rol ) is verantwoordelijk voor uitvoering. 

De gemeentelijke service organisatie: 

o is verantwoordelijk voor beveiliging van de informatievoorziening en implementatie van beveili¬ 
gingsmaatregelen, die voortvloeien uit betrouwbaarheidseisen (classificaties); 
o is verantwoordelijk voor alle beheeraspecten van informatiebeveiliging, zoals ICT security mana¬ 
gement, incident en problem management, facilitaire en personele zaken; 
o verzorgt logging, monitoring en rapportage; 

o levert klanten (technisch) beveiligingsadvies. 

Taken en rollen 

Taken en rollen 

Het College van B&W stelt formeel het IB-beleid vast. De uitvoering van het beleid moet gecontroleerd 
worden, zowel het College als de Raad (controle functie) kunnen hiervoor opdracht geven om dit te 
(laten) controleren. De gemeentedirectie adviseert B&W formeel over vast te stellen beleid. 

De CIO (Chief Information Officer) of vergelijkbare rol geeft namens de gemeentedirectie op dagelijkse 
basis invulling aan de sturende rol door besluitvorming in de directie voor te bereiden en toe te zien 
op de uitvoering ervan. De IB taken die hieruit voortvloeien zijn belegd bij de 'Chief Information Secu¬ 
rity Officer' (CISO). De CISO bevordert en adviseert gevraagd en ongevraagd over IB en rapporteert 
eens per kwartaal concernbreed aan de directie over de stand van zaken. 

De coördinatie van informatiebeveiliging is belegd bij een strategische adviesfunctie binnen alle afde¬ 
lingen. Uitvoerende taken zijn zoveel mogelijk belegd bij (decentrale) i-security functionarissen. De af¬ 
delingen rapporteren aan de CISO. Over het functioneren van informatiebeveiliging wordt jaarlijks ge¬ 
rapporteerd conform de P&C cyclus. 

De gemeentelijke service organisatie (met name ICT) heeft een security functionaris aangesteld voor 
dagelijks beheer van technische IB-aspecten. De security functionaris rapporteert aan de CISO. Informa¬ 
tiebeveiliging is onderdeel van de service management rapportage. 


Wie 

Sturen: 

Directie dagelijk¬ 
se uitvoering: 
ClO/CISO 
Vragen: 

Alle afdelingen 


Uitvoeren : 
Service organisa¬ 
tie (in uit - voer 
en de rol) 


Plan: 

Kaderstelling 

Ontwikkelen van kaders 
(beleid en architectuur); re¬ 
glementen; meerjarenplan¬ 
ning. 

Formuleren van beveili¬ 
gingseisen (classificatie) en 
opstellen clusterbeleid en 
beveiligingsplannen. 
Beleidsvoorbereiding, tech¬ 
nische onderzoeken (markt¬ 
verkenningen). 


Do: 

Uitvoering 

Inbedding landelijke en EU- 
richtlijnen, advisering, 
handreikingen, crisisbeheer¬ 
sing en Incident respons. 
Stimuleren van beveiligings¬ 
bewustzijn bij medewerkers, 
risico- en bedrijfscontinuï- 
teit-management. 

Leveren van security mana¬ 
gement en services (ICT), 
incidentbeheer, logging, 
monitoring en advies. 


Check; 

Controle 

Controle, audit, pentes- 
ten. 


Interne controle (IC), stu¬ 
ren op naleving van re¬ 
gels door medewerkers 
(gedrag), compliancy. 
Vulnerability scanning, 
evaluatie en rapportage. 


Act: Verbetering 

Bijsturen: opdrachtverstrek- 
king voor verbeteracties. 
Rapportage aan directie/ 
B&W 

Verbeteren bedrijfscontinuï¬ 
teit. Rapportage aan ClO/CI¬ 
SO. 

Uitvoeren verbeteracties. 
Advies aan de ClO/CISO over 
aanpassingen aan de infor¬ 
matievoorziening. 


Functioneel overleg 
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De CISO of gemeentelijke beveiligingsfunctionaris stelt een organisatie voor van security gerelateerde 
functionarissen binnen de gemeenten en de CISO organiseert tenminste eenmaal per kwartaal een 
(security) overleg met dit gremium. De CISO / beveiligingsfunctionaris is voorzitter. Het overleg heeft 
binnen de gemeente een adviesfunctie richting de CIO of gelijkwaardig en richt zich met name op beleid 
en adviseert over tactisch/strategische informatiebeveiliging kwesties. 

Het onderwerp Informatiebeveiliging dient verder een vast onderdeel te zijn op de agenda van het 
lijnoverleg zodat er sturing plaatsvindt op de uitgevoerde activiteiten. 

Rapportage en escalatielijn voor IB 

(Decentrale) Security verantwoordelijke CISO CIO directie 
Externe partijen 

IB-beleid, landelijke normen en wet en regelgeving gelden ook voor externe partijen (leveranciers, ke¬ 
tenpartners) waarmee de gemeente samenwerkt (en informatie mee uitwisselt). Ook voor externe 
partijen geldt hierbij het 'comply or explain' beginsel (pas toe of leg uit). 

Bij contractuele overeenkomsten gelden in beginsel altijd de Algemene Inkoop Voorwaarden (AlV), 
waarin onder meer geheimhouding en aansprakelijkheid is geregeld. Afwijkingen op de AlV dienen te 
worden getoetst aan IB-beleid. Vereiste beveiligingsmaatregelen worden aanvullend vastgelegd in 
contracten en/of bewerkersovereenkomsten. Daarin is onder meer geborgd dat beveiligingsincidenten 
onmiddellijk worden gerapporteerd en dat de gemeente het recht heeft afspraken te (laten) controleren. 

Voor het tot stand brengen van datakoppelingen met externe partijen, geldt naast generiek IB-beleid 
een gemeentelijke procedure Aanvragen externe toegang Intranet'. Het doel van de procedure is risi¬ 
cobeheersing. 

Voor externe hosting van data en/of services gelden naast generiek IB-beleid de richtlijnen voor cloud 
computing. De gemeente is gehouden aan: 

° regels omtrent grensoverschrijdend dataverkeer; 

° toezicht op naleving van regels door de externe partij(en); 

° hoogste beveiligingseisen voor bijzondere categorieën gegevens; 

o melding bij college bescherming persoonsgegevens (CBP) bij doorgifte van persoonsgegevens 
naar derde landen (buiten de EU). 

ICT crisisbeheersing en landelijke samenwerking 

Voor interne crisisbeheersing dient een kernteam IB geïnstalleerd te zijn, bestaande uit CISO of functi¬ 
onaris informatiebeveiliging, security functionaris ICT Service organisatie, relevante experts en de ge¬ 
meentelijke communicatie afdeling. De werkwijze dient te zijn vastgelegd. 

De gemeente Ciessenlanden participeert in relevante landelijke platforms en onderhoudt contacten 
met andere sectoraal georganiseerde IB-platforms. 

PDCA 

Informatiebeveiliging is een continu verbeterproces. 'Plan, do, check en act' vormen samen het mana¬ 
gement systeem van informatiebeveiliging. Deze kwaliteitscyclus is in onderstaande figuur weergegeven. 

Toelichting figuur 2: 

o Plan : De cyclus start met IB-beleid, gebaseerd op wet- en regelgeving, landelijke normen zoals 
de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) en 'best practices', uitgewerkt 
in regels voor onder meer informatiegebruik, bedrijfscontinuïteit en naleving. Planning geschiedt 
op jaarlijkse basis en wordt indien nodig tussentijds bijgesteld. De planning op hoofdlijnen is 
onderdeel van het ClO/ICT jaarplan en uitgewerkt in het informatiebeveiligingsplan (IB-beleid) 
van de gemeente. Afdelingsspecifieke activiteiten worden gepland in het afdelings-IB plan of het 
afdelings- informatieplan (IM-functie). 

o Do: Het beleidskader is de basis voor risicomanagement, uitvoering van (technische) maatregelen 
en bevordering van beveiligingsbewustzijn. Uitvoering geschiedt op dagelijkse basis en maakt 
integraal onderdeel uit van het werkproces. 


9 


Gemeenteblad 2015 nr. 25335 25 maart 2015 





Ciessenlanden 


Gemeente 



o Check : Contrei is onderdeel van het werkproces met als doel: waarborgen van de kwaliteit van 
informatie en ICT, en compliance aan wet- en regelgeving. 

•Externe controle: betreft controle buiten het primaire proces door een auditor. Dit heeft het ka¬ 
rakter van een steekproef. Jaarlijks worden meerdere van dergelijke onderzoeken uitgevoerd, 
waarbij de ClO/ICT in principe opdrachtgever is. Bevindingen worden gerapporteerd aan de CIO 
en de directies. 

o Act : De cyclus is rond met de uitvoering van verbeteracties o.b.v. check en externe controle. De 
cyclus is een continu proces; de bevindingen van controles zijn weer input voor de jaarplanning 
en beveiligingsplannen. De bevindingen worden in beginsel gerapporteerd aan de directie. Voor 
ingrijpende verbeteracties wordt een gevraagde beslissing voorgelegd. 

Beheer van bedrijfsmiddelen 

Verantwoordelijkheid voor bedrijfsmiddelen 


Risico's: 


Bedrijfsmiddelen en informatie zijn blootgesteld aan risico's zoals diefstal, beschadiging of onoordeel¬ 
kundig gebruik, waarbij niet voor alle ICT-configuratie items is vastgelegd wie de eigenaar/hoofdgebruiker 
is. 

Onduidelijkheid wie verantwoordelijk is voor gegevensbestanden, waardoor ook niemand verantwoor¬ 
delijk is voor de beveiliging en kan optreden bij incidenten. 

Doelstellingen 

Bereiken en handhaven van een adequate bescherming van bedrijfsmiddelen van de organisatie. 

Voor alle bedrijfsmiddelen is de eigenaar vastgelegd alsook de verantwoordelijke voor het handhaven 
van de beheersmaatregelen. 

Beheersmaatregelen 

Alle bedrijfsmiddelen moeten geïdentificeerd zijn er moet een inventaris van worden bijgehouden. 

Alle informatie en bedrijfsmiddelen, die verband houden met ICT-voorzieningen aan een 'eigenaar' 
(een deel van de organisatie) toewijzen. 

Regels vaststellen, documenteren implementeren voor aanvaardbaar gebruik van informatie en bedrijfs¬ 
middelen die verband houden met ICT-voorzieningen. 

Apparatuur, informatie en programmatuur van de organisatie mogen niet zonder toestemming vooraf 
van de locatie worden meegenomen. 

De verantwoordelijkheid voor specifieke beheersmaatregelen mag door de eigenaar worden gedelegeerd, 
maar de eigenaar blijft verantwoordelijk voor een goede bescherming van de bedrijfsmiddelen. 

Medewerkers dienen bij het gebruik van ICT-middelen, social media en gemeentelijke informatie de 
nodige zorgvuldigheid te betrachten en de integriteit en goede naam van de gemeente te waarborgen. 

Medewerkers gebruiken gemeentelijke informatie primair voor het uitvoeren van de aan hen opgedragen 
taken en het doel waarvoor de informatie is verstrekt. 

Privégebruik van gemeentelijke informatie en bestanden is niet toegestaan. 

Voor het werken op afstand en het gebruik van privémiddelen worden nadere regels opgesteld. Echter, 
de medewerker is gehouden aan regels zoals: 

° Illegale software mag niet worden gebruikt voor de uitvoering van het werk. 
o Er bestaat geen plicht de eigen computer te beveiligen, maar de gemeentelijke informatie daarop 
wel. 

o Het verbod op ongewenst gebruik in de (fysieke) kantooromgeving geldt ook als dat via de eigen 
computer plaatsvindt. 
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De medewerker neemt passende technische en organisatorische maatregelen om gemeentelijke infor¬ 
matie te beveiligen tegen verlies of tegen enige vorm van onrechtmatig gebruik. De medewerker houdt 
hierbij in ieder geval rekening met: 

o de beveiligingsclassificatie van de informatie (zie hieronder); 

o de door de gemeente gestelde beveiligingsvoorschriften (o.a. dit informatiebeveiligingsbeleid); 
o aan de werkplek verbonden risico's; 

o het risico door het benaderen van gemeentelijke informatie met andere dan door de gemeente 
verstrekte of goedgekeurde ICT-apparatuur. 

Classificatie van informatie 

Om te kunnen bepalen welke beveiligingsmaatregelen moeten worden getroffen t.a.v. processen en 
informatiesystemen worden beveiligingsclassificaties gebruikt. Classificatie maakt het vereiste bescher¬ 
mingsniveau zichtbaar en maakt direct duidelijk welke maatregelen nodig zijn. Er wordt geclassificeerd 
op drie betrouwbaarheidsaspecten van informatie: beschikbaarheid, integriteit (juistheid, volledigheid) 
en vertrouwelijkheid(BIV). 

Er zijn drie beschermingsniveaus van laag naar hoog. Daarnaast is er nog een niveau 'geen'. Dit niveau 
geeft aan dat er geen beschermingseisen worden gesteld, bijvoorbeeld omdat informatie openbaar is. 
De niveaus zijn in onderstaande tabel weergegeven. Tussen haakjes staan voorbeelden. Deze niveaus 
zijn bedacht om het proces van classificeren te vereenvoudigen. 

Risico's: 

Geen inzicht in welke componenten, zowel hardware als software, het belangrijkst zijn voor de primaire 
processen. 

Onjuiste classificatie draagt bij aan het onjuist beschermen van informatie en bedrijfsmiddelen met als 
risico, dat deze verloren kunnen gaan of openbaar worden gemaakt terwijl dat niet de bedoeling is. 

Doelstellingen 

Informatie heeft een geschikt niveau van bescherming. 

Classificatie van informatie om bij verwerking de noodzaak en bescherming te kunnen aangeven. 

Adequate niveaus van bescherming van informatie zijn gedefinieerd en de noodzaak voor aparte ver- 
werkingsmaatregelen is gecommuniceerd. 

Beheersmaatregelen: 

Informatie classificeren met betrekking tot de waarde, wettelijke eisen, gevoeligheid en onmisbaarheid 
voor de organisatie. 

Opstellen en uitdragen classificatiebeleid binnen de gemeente. 

Er dienen geschikte samenhangende procedures te worden ontwikkeld en geïmplementeerd voor de 
classificiering en verwerking van informatie overeenkomstig het classificatiesysteem dat is vastgesteld. 


Niveau 

Vertrouwelijkheid 

Integriteit 

Beschikbaarheid 

Geen 

Openbaar 

informatie mag door iedereen worden 
ingezien 

(bv: algemene informatie op de exter¬ 
ne website van de gemeente 

Niet zeker 

informatie mag worden veranderd 
(bv: templates en sjablonen) 

Niet nodig 

gegevens kunnen zonder gevolgen 
langere tijd niet beschikbaar zijn 
(bv: ondersteunende tools als routeplan¬ 
ner) 

Laag 

Bedrijfsvertrouwelijk 

informatie is toegankelijk voor alle 
medewerkers van de organisatie 
(bv: informatie op het intranet) 

Beschermd 

het bedrijfsproces staat enkele (integri- 
teits-) fouten toe 
(bv: rapportages) 

Noodzakelijk 

informatie mag incidenteel niet beschik¬ 
baar zijn 

(bv: administratieve gegevens) 

Midden 

Vertrouwelijk 

informatie is alleen toegankelijk voor 
een beperkte groep gebruikers 
(bv: persoonsgegevens, financiële ge¬ 
gevens 

Hoog 

het bedrijfsproces staat zeer weinig 
fouten toe 

(bv: bedrijfsvoeringinformatle en pri¬ 
maire procesinformatie zoals vergun¬ 
ningen) 

Belangrijk 

informatie moet vrijwel altijd beschik¬ 
baar zijn, continuïteit is belangrijk 
(bv: primaire proces informatie) 
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Hoog 


Geheim 


Absoluut 


Essentieel 

informatie mag alleen in uitzonderlijke 
situaties uitvallen, bijvoorbeeld bij cala¬ 
miteiten 

(bv: basisregistraties) 


informatie is alleen toegankelijk voor het bedrijfsproces staat geen fouten 


direct geadresseerde(n) 


toe 


(bv: zorggegevens en strafrechtelijke (bv: gemeentelijke informatie op de 


informatie) 


website) 


Uitgangspunten 

De classificatietabel heeft betrekking op alle in beheer zijnde gegevensverzamelingen, gegevensdragers, 
informatiesystemen, servers en netwerkcomponenten. 

Het object van classificatie is informatie. We classificeren op het niveau van informatiesystemen (of 
informatieservices). Alle classificaties van alle bedrijfskritische systemen zijn centraal vastgelegd door 
de CISC en dienen jaarlijks gecontroleerd te worden door de eigenaren. 

Informatie kan meer of minder gevoelig of kritisch zijn. Voor bepaalde informatie kan een extra niveau 
van bescherming of een speciale verwerking nodig zijn. 

De eigenaar van de gegevens (veelal ook de proceseigenaar) bepaalt het vereiste beschermingsniveau 
(classificatie). Indien sprake is van wettelijke eisen, wordt dit expliciet aangegeven. De eigenaar van de 
gegevens bepaalt tevens wie toegang krijgt tot welke gegevens. 

Er wordt gestreefd naar een zo 'laag' mogelijk classificatieniveau; te hoge classificatie leidt tot onnodige 
kosten. Bovendien dient informatie in beginsel voor zoveel mogelijk mensen beschikbaar te zijn 
(transparante overheid). 

Er wordt gestreefd naar een balans tussen het te lopen risico en de kosten van tegenmaatregelen én 
daarnaast verdient een technische oplossing altijd de voorkeur boven gedragsverandering. 


Toelichting 


De te nemen maatregelen moeten worden afgestemd op de risico's, waarbij rekening dient te worden 
gehouden met technische mogelijkheden en de kosten van maatregelen. Dit is vaak situatie afhankelijk. 
Naarmate de gegevens een gevoeliger karakter hebben, of gezien de context waarin ze gebruikt worden 
een groter risico inhouden, dienen zwaardere eisen aan de beveiliging van die gegevens te worden 
gesteld. In het algemeen kan worden gesteld, dat indien met naar verhouding geringe extra kosten 
meer beveiliging kan worden bewerkstelligd dit als 'passend' kan worden beschouwd. Extra beveiliging 
is echter niet meer passend, indien de kosten voor het mitigeren van de risico's disproportioneel hoog 
zijn. Kort gezegd: risico's en tegenmaatregelen dienen in balans te zijn. 

Beveiliging van personeel 


Risico's 


Het aannemen of inhuren van nieuw personeel en het laten verrichten van werkzaamheden door externe 
medewerkers verdient extra aandacht, omdat menselijk falen en bedreigingen van menselijke aard 
significante invloed kunnen hebben op de beschikbaarheid, integriteit en vertrouwelijkheid van infor¬ 
matie. 


Doelstelling 


Bewerkstelligen dat werknemers, ingehuurd personeel en externe gebruikers hun verantwoordelijkheden 
begrijpen, en geschikt zijn voor de rollen waarvoor zij worden overwogen, en om het risico van diefstal, 
fraude of misbruik van faciliteiten te verminderen. 

De verantwoordelijkheden ten aanzien van beveiliging is vóór het dienstverband vastgelegd in passende 
functiebeschrijvingen en in de arbeidsvoorwaarden. 

Alle kandidaten voor een aanstelling, ingehuurd personeel en externe gebruikers worden gescreend, 
in het bijzonder voor vertrouwensfuncties. 

Werknemers, ingehuurd personeel en externe gebruikers, die ICT-voorzieningen gebruiken tekenen 
een overeenkomst over hun beveiligingsrollen en -verantwoordelijkheden. 

Beheersmaatregelen 
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Het lijnmanagement is verantwoordelijk voor het juist afhandelen van de beveiligingsaspecten van het 
aangaan, wijzigen en beëindigen van een dienstverband of een overeenkomst met externen. De HR- 
afdeling houdt toezicht op dit proces. 

Bij beëindiging van het dienstverband en inhuur worden alle bedrijfsmiddelen van de organisatie gere¬ 
tourneerd. Autorisaties worden in opdracht van het lijnmanagement geblokkeerd. 

Medewerkers die werken met vertrouwelijke of geheime informatie overleggen voor indiensttreding 
een Verklaring Omtrent het Gedrag (VOG). De VOG wordt indien nodig herhaald tijdens het dienstver¬ 
band. 

Het lijnmanagement bepaalt welke rol(len) de medewerker moet vervullen en welke autorisaties voor 
het raadplegen, opvoeren, muteren en afvoeren van gegevens moeten worden verstrekt. 

Alle medewerkers (en voor zover van toepassing externe gebruikers van onze systemen) dienen training 
te krijgen in procedures die binnen de gemeente of afdeling gelden voor informatiebeveiliging. Deze 
training dient regelmatig te worden herhaald om het beveiligingsbewustzijn op peil te houden. 

Bij inbreuk op de beveiliging gelden voor medewerkers de gebruikelijke disciplinaire maatregelen, zoals 
onder meer genoemd in het Ambtenarenreglement en gemeentelijke regelingen. 

Regels die volgen uit dit beleid en andere gemeentelijke regelingen gelden ook voor externen, die in 
opdracht van de gemeente werkzaamheden uitvoeren. 

Bewustwording 

De gemeente/ de directie/ de afdeling bevordert algehele communicatie en bewustwording rondom 
informatieveiligheid. 

Het lijnmanagement bevordert dat medewerkers (en externe gebruikers van onze systemen) zich houden 
aan beveiligingsrichtlijnen. Afspraken hierover worden vastgelegd in het managementcontract. 

In werkoverleggen wordt periodiek aandacht geschonken aan informatieveiligheid. Voor zover relevant 
worden hierover afspraken vastgelegd in planningsgesprekken. 

Fysieke beveiliging en beveiliging van de omgeving 


Risico's 


Onbevoegde toegang tot kritieke systemen of waardevolle informatie. Bij het ontbreken van registratie 
zijn incidenten bovendien niet herleidbaar tot individuen. 

Door bijvoorbeeld de inzet van externen, de toeloop van leveranciers en andere niet-medewerkers of 
het feit dat de medewerkers op meerdere locaties op geruime afstand van elkaar gevestigd zijn, is het 
betrekkelijk eenvoudig voor niet-medewerkers om toegang tot de panden te krijgen door tegelijk met 
een geautoriseerde medewerker naar binnen te gaan. 

Als informatie zichtbaar op bureaus ligt, is er een verhoogd risico m.b.t. de vertrouwelijkheid. 

Geen procedures voor het veilig verwijderen of hergebruiken van ICT-apparatuur. 

Bescherming van apparatuur, waaronder apparatuur die buiten de locatie wordt gebruikt en het verwij¬ 
deren van bedrijfseigendommen, is noodzakelijk om het risico van toegang door onbevoegden tot in¬ 
formatie te verminderen en om de apparatuur en informatie te beschermen tegen verlies of schade. 


Doelstelling 


Het voorkomen van onbevoegde fysieke toegang tot, schade aan of verstoring van het terrein en de 
informatie van de organisatie, bedrijfsmiddelen en onderbreking van de bedrijfsactiviteiten. 

ICT-voorzieningen, die kritieke of gevoelige bedrijfsactiviteiten ondersteunen, behoren fysiek te worden 
ondergebracht in beveiligde ruimten, beschermd door afgegrensde beveiligde gebieden, in een gecon¬ 
troleerde omgeving, beveiligd met geschikte beveiligingsbarrières en toegangsbeveiliging. Ze behoren 
fysiek te worden beschermd tegen toegang door onbevoegden, schade en storingen. 
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Het voorkomen van verlies, schade of diefstal van apparatuur en bescherming tegen fysieke bedreigingen 
en gevaren van buitenaf 

Beheersmaatregelen 

Alle objecten (gebouwen) van de gemeente krijgen op basis van generieke profielen een risicoprofiel 
toegewezen. Dit is het generieke risicoprofiel dat het beste aansluit bij het object. 

De schade door bedreigingen van buitenaf (zoals brand, overstroming, explosies, oproer, stroomonder- 
breking) wordt beperkt door passende preventieve maatregelen. 

Toegang tot niet-openbare gedeelten van gebouwen of beveiligingszones is alleen mogelijk na autori¬ 
satie daartoe. 

De uitgifte van toegangsmiddelen wordt geregistreerd. 

In gebouwen met beveiligde zones houdt beveiligingspersoneel toezicht op de toegang. Hiervan wordt 
een registratie bijgehouden. 

De kwaliteit van toegangsmiddelen (deuren, sleutels, sloten, toegangspassen) is afgestemd op de zo¬ 
nering (en het risicoprofiel). 

In diverse panden van de gemeente wordt gebruik gemaakt van cameratoezicht. Het gebruik van 
beeldmateriaal is beperkt door de Wet Bescherming Persoonsgegevens en nadere regels. 

De fysieke toegang tot ruimten waar zich informatie en ICT-voorzieningen bevinden is voorbehouden 
aan bevoegd personeel. Registratie van de verleende toegang ondersteunt de uitvoering van de toe- 
gangsregeling. 

Serverruimtes, datacenters en daaraan gekoppelde bekabelingsystemen zijn ingericht in lijn met gel¬ 
dende 'best practices'. 

(Data)verbindingen worden beschermd tegen interceptie of beschadiging. 

Reserve apparatuur en back-ups zijn gescheiden in twee locaties of datacenters, om de gevolgen van 
een calamiteit te minimaliseren. 

Gegevens en programmatuur worden van apparatuur verwijderd of veilig overschreven, voordat de 
apparatuur wordt afgevoerd. Informatie wordt bewaard en vernietigd conform de Archiefwet 1995 en 
de daaruit voortvloeiende archiefbesluiten. 

Beveiliging van apparatuur en informatie 


Risico's 


Het ontbreken van documentatie kan leiden tot fouten, niet-uniforme wijze van gegevensinvoer, of in 
geval de beheerder/bediener uitvalt, tot problemen rondom de continuïteit. 

Onjuiste autorisaties kunnen leiden tot foutieve handelingen, fraude en verduistering. 

Het niet uitvoeren en vastleggen van technische en functionele applicatietesten en/of de resultaten 
hiervan, kan in bepaalde omstandigheden (tijdsdruk, vakantieperiodes, etc.) leiden tot een verhoogd 
risico van uitval of gegevens verlies. 

De gemeente gaat steeds meer samenwerken (en informatie uitwisselen) in ketens en besteedt meer 
taken uit. Bij beheer van systemen en gegevens door een derde partij, kan ook informatie van de ge¬ 
meente op straat komen te liggen. De gemeente blijft verantwoordelijk voor de informatiebeveiliging 
van haar gegevens in dat deel van de keten, waarbij het beheer bij een andere partij ligt. 

Programmatuur en ICT-voorzieningen zijn kwetsbaar voor virussen. 

Het ontbreken van een regeling voor antivirus bescherming bij medewerkers thuis leidt tot hogere be- 
veiligingsrisico's. 


Doelstelling 
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Waarborgen van een correcte en veilige bediening van ICT-voorzieningen . 

Vastgestelde verantwoordelijkheden en procedures voor beheer en bediening van alle ICT-voorzIenIngen 
. Dit omvat tevens de ontwikkeling van geschikte bedieningsinstructies. 

Toepassing, waar nodig, van functiescheiding om het risico van naiatigheid of opzetteiijk misbruik te 
verminderen. 

Beheersmaatregelen 

Organisatorische aspecten 

In beginsel mag niemand autorisaties hebben om een gehele cyclus van handelingen in een informa¬ 
tiesysteem te beheersen, zodanig dat beschikbaarheid, integriteit of vertrouwelijkheid kan worden ge¬ 
compromitteerd. Indien dit toch noodzakelijk is, dient een audit trail te worden vastgelegd van alle 
handelingen en tijdstippen in het proces, dusdanig dat transactie kan worden herleid. De audit trail is 
niet toegankelijk voor degene wiens handelingen worden vastgelegd. 

Er is een scheiding tussen beheertaken en overige gebruikstaken. Beheerwerkzaamheden worden alleen 
uitgevoerd wanneer ingelogd als beheerder, normale gebruikstaken alleen wanneer ingelogd als ge¬ 
bruiker. 

Bij externe hosting van data en/of services (uitbesteding, cloud computing) blijft de gemeente eindver¬ 
antwoordelijk voor de betrouwbaarheid van uitbestede diensten. Dit is gebonden aan regels en vereist 
goede (contractuele) afspraken en controle hierop. 

Externe hosting van data en/of services is: 

o goedgekeurd door verantwoordelijk lijnmanager; 
o in overeenstemming met IB-beleid en algemeen gemeentelijk beleid; 

° vooraf gemeld bij ICT t.b.v. toetsing op beheeraspecten. 

Systeemplanning en -acceptatie 

Nieuwe systemen, upgrades en nieuwe versies worden getest op impact en gevolgen en pas geïmple¬ 
menteerd na formele acceptatie en goedkeuring door de opdrachtgever (veelal de proceseigenaar). De 
test en de testresultaten worden gedocumenteerd. 

Systemen voor Ontwikkeling, Test en/of Acceptatie (OTA) zijn logisch gescheiden van Productie (P). 

Faciliteiten voor ontwikkeling, testen, acceptatie en productie (OTAP) zijn gescheiden om onbevoegde 
toegang tot of wijziging in het productiesysteem te voorkomen. 

In de OTA worden testaccounts gebruikt. Er wordt in beginsel niet getest met productie accounts, mits 
voor de test absoluut noodzakelijk. 

Vertrouwelijke of geheime data uit de productieomgeving mag niet worden gebruikt in de ontwikkel-, 
test-, opleidings-, en acceptatieomgeving tenzij de gegevens zijn geanonimiseerd. Indien het toch 
noodzakelijk is om data uit productie te gebruiken, is uitdrukkelijke toestemming van de eigenaar van 
de gegevens vereist en dienen er procedures te worden gevolgd om data te vernietigen na ontwikkelen 
en testen. 

Het gebruik van ICT-middelen wordt gemonitord ten behoeve van een tijdige aanpassing van de be¬ 
schikbare capaciteit aan de vraag. 

Technische aspecten 

Alle gegevens anders dan classificatie 'geen' worden versleuteld conform beveiligingseisen in de ge¬ 
meentelijke IB-architectuur 

o Classificatieniveau 'laag': transportbeveiliging buiten het interne netwerk; 
o Classificatieniveau 'midden': transportbeveiliging; 

o Classificatieniveau 'hoog': transport en berichtbeveiliging. 


15 


Gemeenteblad 2015 nr. 25335 25 maart 2015 




Ciessenlanden 


Gemeente 



Versleuteling vindt plaats conform 'best practices' (de stand der techniek), waarbij geldt dat de vereiste 
encryptie sterker is naarmate gegevens gevoeliger zijn. 

Gegevens op papier worden beschermd door een deugdelijke opslag en regeling voor de toegang tot 
archiefruimten. 

Bij het openen of wegschrijven van bestanden worden deze geautomatiseerd gecontroleerd op virussen, 
trojans en andere malware. Ook inkomende en uitgaande e-mails worden hierop gecontroleerd. De 
update voor de detectiedefinities vindt in beginsel dagelijks plaats. 

Op verschillende niveaus binnen de ICT-infrastructuur (netwerkcomponenten, servers, pc's) wordt an¬ 
tivirus software van verschillende leveranciers toegepast. 

Alle apparatuur die is verbonden met het netwerk van de gemeente moet kunnen worden geïdentificeerd. 

'Mobile code' wordt uitgevoerd in een logisch geïsoleerde omgeving om de kans op aantasting van de 
integriteit van het systeem te verkleinen. De 'mobile code' wordt altijd uitgevoerd met minimale rechten 
zodat de integriteit van het host systeem niet aangetast wordt 

Documenten, opslagmedia, in- en uitvoergegevens en systeemdocumentatie worden beschermd tegen 
onbevoegde openbaarmaking, wijziging, verwijdering en vernietiging. 

Het (ongecontroleerd) kopiëren van 'geheime' gegevens is niet toegestaan, behalve voor back-up door 
bevoegd systeembeheer. 

Alle informatie, die wordt geplaatst op websites van de gemeente, wordt beschermd tegen onbevoegde 
wijziging. Op algemeen toegankelijke websites wordt alleen openbare informatie gepubliceerd. 

Groepen informatiediensten, gebruikers en informatiesystemen worden op het netwerk gescheiden 
zodat de kans op onbevoegde toegang tot gegevens verder wordt verkleind. 

Afhankelijk van de risico's die verbonden zijn aan on//ne transacties worden maatregelen getroffen om 
onvolledige overdracht, onjuiste routing, onbevoegde wijziging, openbaarmaking, duplicatie of weer¬ 
gave te voorkomen. 

Het netwerk wordt gemonitord en beheerd zodat aanvallen, storingen of fouten ontdekt en hersteld 
kunnen worden en de betrouwbaarheid van het netwerk niet onder het afgesproken minimum niveau 
(service levels) komt. 

Mobiele (privé-)apparatuur en thuiswerkplek 

Beveiligingsmaatregelen hebben betrekking op zowel door de gemeente verstrekte middelen als privé- 
apparatuur ('bring your own device' (BYOD)). Op privé-apparatuur waarmee verbinding wordt gemaakt 
met het gemeentelijke netwerk is de gemeente bevoegd om beveiligingsinstellingen af te dwingen. Dit 
betreft onder meer: controle op wachtwoord, encryptie, aanwezigheid van malware, etc. Het gebruik 
van privé-apparatuur waarop beveiligingsinstellingen zijn verwijderd ('jail break', 'rooted device') is 
niet toegestaan. 

Op verzoek van de gemeente dienen medewerkers de installatie van software om bovenstaande be¬ 
leidsregel te handhaven toe te staan (denk bijvoorbeeld aan 'mobile device management software'). 
De beveiligingsinstellingen, zoals bedoeld in bovenstaande regel, zijn uitsluitend bedoeld ter bescherming 
van gemeentelijke informatie en integriteit van het gemeentelijke netwerk. 

In geval van dringende redenen kunnen noodmaatregelen worden getroffen, zoals wissen van apparatuur 
op afstand. Deze noodmaatregelen kunnen, voor zover dit noodzakelijk is, betrekking hebben op privé- 
middelen en privébestanden. Hiervoor wordt een regeling ontwikkeld. 

Back-up en recovery 

In opdracht van de eigenaar van data, maakt ICT reservekopieën van alle essentiële bedrijfsgegevens 
en programmatuur zodat de continuïteit van de gegevensverwerking kan worden gegarandeerd. 

De omvang en frequentie van de back-ups is in overeenstemming met het belang van de data voor de 
continuïteit van de dienstverlening en de interne bedrijfsvoering, zoals gedefinieerd door de eigenaar 
van de gegevens. 
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Bij ketensystemen dient het back-up mechanisme de data-integriteit van de informatieketen te waarbor¬ 
gen. 

De back-up en herstelprocedures worden regelmatig (tenminste 1 x per jaar) getest om de betrouwbaar¬ 
heid ervan vast te stellen. 

lnformatie-7.2 seling 

Voor het gebruik van gemeentelijke informatie gelden de rechten en plichten zoals vastgelegd in de 
diverse documenten, zoals het CAR-UWO, geheimhoudingsverklaring, huisregels. 

Digitale documenten van de gemeente waar burgers en bedrijven rechten aan kunnen ontlenen, maken 
gebruik van PKI Overheid certificaten voor tekenen en/of encryptie. Hiervoor wordt een richtlijn PKI en 
certificaten opgesteld. 

Er is een (spam) filter geactiveerd voor inkomende e-mail berichten. 

Controle 

Het gebruik van informatiesystemen, alsmede uitzonderingen en informatiebeveiligingsincidenten, 
worden vastgelegd in log bestanden op een manier die in overeenstemming is met het risico, en zodanig 
dat tenminste wordt voldaan aan alle relevante wettelijke eisen. Relevante zaken om te loggen zijn: 

o type gebeurtenis (zoals back-up/restore, reset wachtwoord, betreden ruimte); 
o handelingen met speciale bevoegdheden; 

o (poging tot) ongeautoriseerde toegang; 

° systeemwaarschuwingen; 

o (poging tot) wijziging van de beveiligingsinstellingen. 

Een logregel bevat minimaal: 

° een tot een natuurlijk persoon herleidbare gebruikersnaam of ID; 
o de gebeurtenis; 

o waar mogelijk de identiteit van het werkstation of de locatie; 
o het object waarop de handeling werd uitgevoerd; 
o het resultaat van de handeling; 

o de datum en het tijdstip van de gebeurtenis. 

In een logregel worden alleen de voor de rapportage noodzakelijke gegevens opgeslagen. 

Er worden maatregelen getroffen om te verzekeren dat gegevens over legging beschikbaar blijven en 
niet gewijzigd kunnen worden door een gebruiker of systeembeheerder. De bewaartermijnen zijn in 
overeenstemming met wettelijke eisen. 

Beheer van de dienstverlening door een derde partij 

Risico's 

De gemeente gaat steeds meer samenwerken en informatie uitwisselen in ketens en besteedt meer 
taken uit. Bij beheer van systemen en gegevens door een derde partij kan ook informatie van de ge¬ 
meente op straat komen te liggen. De gemeente blijft verantwoordelijk voor de informatiebeveiliging 
van haar gegevens in dat deel van de keten, waarbij het beheer bij een andere partij ligt. 

Doelstelling 

Een passend niveau van informatiebeveiliging implementeren en bijhouden en dit vastleggen in een 
(bewerkers)overeenkomst, contracten en/of convenanten. 

De organisatie controleert de implementatie van de maatregelen, die zijn vastgelegd overeenkomsten, 
bewaakt de naleving van de overeenkomsten en beheert wijzigingen om te waarborgen dat de beveiliging 
aan alle eisen voldoet, die met de derde partij zijn overeengekomen. 

Beheersmaatregelen 
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De beveiligingsmaatregelen, definities van dienstverlening en niveaus van dienstverlening zoals vast¬ 
gelegd in de (bewerkers)overeenkomst voor dienstverlening door een derde partij worden geïmplemen¬ 
teerd en uitgevoerd. 

De diensten, rapporten en registraties, die door de derde partij worden geleverd, worden gecontroleerd 
en beoordeeld en er worden periodiek audits uitgevoerd. 

Wijzigingen in de dienstverlening door derden, in bijvoorbeeld bestaande beleidslijnen, procedures en 
maatregelen voor informatiebeveiliging, worden beheerd. 

Uitgangspunten 

In de basis-SLA voor dienstverlening is aandacht besteed aan informatiebeveiliging. 

Er is een basiscontract voor de toegang tot de ICT-voorzieningen en/of de informatievoorziening (be¬ 
standen, gegevens) door derden waarin kaders staan voor de toegang tot ICT-voorzieningen door 
derden. In contractbeheer, applicatiebeheer en functioneel beheer is naleving van de gemaakte afspraken 
opgenomen. 

o Programmatuur en ICT-voorzieningen zijn kwetsbaar voor virussen. 

o Het ontbreken van een regeling voor antivirus bescherming bij medewerkers thuis leidt tot hogere 
beveiligingsrisico's. 

Behandeling van media 

Risico's 

Verwijderbare media kan informatie bevatten, die in onbevoegde handen kan vallen bij onjuist gebruik, 
verlies of diefstal. 

Doelstelling 

Voorkomen van onbevoegde openbaarmaking, modificatie, verwijdering of vernietiging van informatie 
en bedrijfsmiddelen. 

Media worden beheerst en fysiek beschermd. 

Vastgesteide procedures om documenten, opslagmedia (bijvoorbeeld USB-stIcks, back - up tapes, 
schijven), in- en uitvoergegevens en systeemdocumentatie te beschermen tegen onbevoegde open¬ 
baarmaking, wijziging, verwijdering en vernietiging. 

Beheersmaatregelen 

Er dienen procedures te worden vastgesteld voor het beheer van verwijderbare media. 

Er dienen procedures te worden vastgesteld voor het op een veilige manier verwijderen van media als 
ze niet langer nodig zijn. 

Systeemdocumentatie dient te worden beschermd tegen onbevoegde toegang. 

Uitgangspunten 

Er zijn procedures voor het beheer van verwijderbare media en voor het veilig verwijderen of herge¬ 
bruiken van ICT-apparatuur. 

Harde schijven en andere media worden adequaat gewist of vernietigd bij afstoting of hergebruik. In 
ieder geval indien er vertrouwelijke informatie is opgeslagen en/of licentie plichtige programmatuur 
op is geïnstalleerd. 

Er zijn richtlijnen voor het opbergen van papieren en computermedia. In ieder geval voor gevoelige of 
kritieke bedrijfsinformatie. 

Innamebeleid voor mobiele apparatuur, zoals laptops, pda's, iPads, voor wanneer deze niet meer 
worden gebruikt. 
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Encryptie op informatie met het classificatielabel vertrouwelijk en zeer geheim. 

Uitwisseling van informatie 
Risico's 

Verlies of diefstal van laptops, USB-sticks, iPads e.d., waarbij bovendien informatie in verkeerde handen 
komt. 

Beheersmaatregelen 

Vaststellen formeel beleid, formele procedures en formele beheersmaatregelen om de uitwisseling 
van informatie via het gebruik van alle typen communicatiefaciliteiten te beschermen. 

Vaststellen overeenkomsten voor de uitwisseling van informatie en programmatuur tussen de organi¬ 
satie en externe partijen. 

Beschermingsmaatregelen voor media die informatie bevatten tegen onbevoegde toegang, misbruik 
of het corrumperen tijdens transport buiten de fysieke begrenzing van de organisatie. 

Bescherming van informatie, die een rol speelt bij elektronische berichtuitwisseling. 

Doelstelling 

Handhaven van beveiliging van informatie en programmatuur, die wordt uitgewisseld binnen een 
organisatie en met enige externe entiteit. 

Een formeel uitwisselingsbeleld m.b.t. de uitwisseling van informatie en programmatuur tussen orga¬ 
nisaties, dat in iijn is met de uitwisseiingsovereenkomsten en reievante wetgeving. 

Vastgestelde procedures en normen ter bescherming van informatie en fysieke media, die informatie 
bevatten die wordt getransporteerd. 

Uitgangspunten 

Geformaliseerde situatie rondom het transport van de back-ups en de mogelijkheden van leveranciers 
om toegang tot het netwerk te verkrijgen. 

Een basisraamwerk met randvoorwaarden voor gegevensuitwisseling met ketenpartners. 

Gevoelige informatie (classificatie vertrouwelijk en zeer geheim) wordt nooit bekend gemaakt via telefoon 
of fax, in verband met bijvoorbeeld afluisteren. 

Bewustzijn en sociale controle om het risico op het lekken van informatie via telefoon e.d. te laten afne¬ 
men. 

Logische toegangsbeveiliging 

De identiteit van een gebruiker die toegang krijgt tot gemeentelijke informatie dient te worden vastge¬ 
steld. Logische toegang is gebaseerd op de classificatie van de informatie. 

Risico's: 

Wanneer toegangsbeheersing niet expliciet gebaseerd is op de Baseline Informatiebeveiliging Neder¬ 
landse Gemeenten (BIG) en/of een aanvullende risicoanalyse, is niet duidelijk of het juiste niveau van 
beveiliging wordt gehanteerd. 

Verstoringen door onjuist gebruik van ICT-ruimtes of ICT-componenten (m.n. waar ook niet ICT-teams 
toegang hebben). 

Doelstelling 

Beheersen van de toegang tot informatie, ICT-voorzieningen en bedrijfsprocessen op grond van be- 
drijfsbehoeften en beveiligingseisen. 
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Beleid ten aanzien van informatieverspreiding en autorisatie is van toepassing. 

Uitgangspunten 

De eigenaar van de data is bevoegd toegang te verlenen. 

Er worden in de regel geen 'algemene' identiteiten gebruikt. Voor herleidbaarheid en transparantie is 
het namelijk nodig om te weten wie een bepaalde actie heeft uitgevoerd. Indien dit geen (wettelijke) 
eis is kan worden gewerkt met functionele accounts. 

De gemeente maakt ,waar mogelijk, gebruik van bestaande (landelijke) voorzieningen voor authenticatie, 
autorisatie en informatiebeveiliging (zoals: DigiD en eHerkenning). 

Authenticatie en autorisatie 

Wachtwoorden worden voor een beperkte periode toegekend (3 tot maximaal 6 maanden). Wachtwoor¬ 
den dienen aan eisen te voldoen, deze worden afgedwongen door het systeem. Voor medewerkers 
met speciale bevoegdheden (systeem en functioneel beheerders) gelden strengere eisen. 

De gebruiker is verantwoordelijk voor het geheim blijven van zijn wachtwoord. 

Authenticatiemiddelen zoals wachtwoorden worden beschermd tegen inzage en wijziging door onbe¬ 
voegden tijdens transport en opslag (door middel van encryptie). 

Autorisatie is rol gebaseerd. Autorisaties worden toegekend via functie(s) en organisatie onderdelen. 

Toegang tot informatie met classificaties 'midden' of 'hoog' vereist 'multi-factor' authenticatie (bijv. 
naam/wachtwoord -i- token). 

Externe toegang 

De gemeente kan een externe partij toegang verlenen tot het gemeentelijke netwerk. Hiervoor dient 
een procedure gemaakt en gevolgd te worden. Externe partijen kunnen niet op eigen initiatief verbinding 
maken met het besloten netwerk van de gemeente, tenzij uitdrukkelijk overeengekomen. 

De externe partij is verantwoordelijk voor authenticatie en autorisatie van haar eigen medewerkers. De 
gemeente heeft het recht hierop te controleren en doet dat aan de hand van de audit trail en interne 
legging. 

Mobiel en thuiswerken 

Voor werken op afstand is een thuiswerkomgeving beschikbaar. Toegang tot vertrouwelijke informatie 
wordt verleend op basis van multifactor authenticatie. 

Onbeheerde apparatuur (privé-apparaten of de 'open laptop') kan gebruik maken van draadloze toe¬ 
gangspunten (WiFi). Deze zijn logisch gescheiden van het gemeentelijke bedrijfsnetwerk. 

Mobiele bedrijfsapplicaties worden bij voorkeur zo aangeboden dat er geen gemeentelijke informatie 
wordt opgeslagen op het mobiele apparaat ('zero footprint'). Gemeentelijke informatie dient te worden 
versleuteld bij transport en opslag conform classificatie eisen. 

Voorzieningen als webmail, als ook sociale netwerk en clouddiensten (Dropbox, Gmail, etc.) zijn door 
het lage beschermingsniveau (veelal alleen naam en wachtwoord, het ontbreken van versleuteling) 
niet geschikt voor het delen van vertrouwelijke en geheime informatie. 

Overige maatregelen 

Het fysieke (bekabelde) netwerk is niet toegankelijk voor onbeheerde apparatuur. 

Het netwerk van de gemeente is waar mogelijk gesegmenteerd ( afdelingen, gebruikers en systemen 
zijn logisch gescheiden). Tussen segmenten met verschillende beschermingsniveaus worden access 
control lists (ACL's) geïmplementeerd. 

Beveiliging van informatiesystemen (software) 
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Doelstelling 

Bewerkstelligen dat beveiliging integraal deel uitmaakt van informatiesystemen. 

Organisatorische aspecten 

Toetsing op IB-beleid is onderdeel van de toets voor projecten met een ICT-component en onderdeel 
van de project start en eind architectuur (PSA en PEA). 

Projecten met een hoog risicoprofiel vallen onder toezicht van ICT. Toetsing op architectuur en infor- 
matieveveiliging is hier onderdeel van. 

Projectmandaten worden ten behoeve van behandeling in gemeentelijk overleg (onder meer) voorzien 
van een advies op informatiebeveiliging. 

In het programma van eisen voor nieuwe informatiesystemen of uitbreidingen van bestaande informa¬ 
tiesystemen worden ook relevante beveiligingseisen opgenomen. 

Softwareontwikkeling en onderhoud 

Applicaties worden ontwikkeld en getest o.b.v. landelijke richtlijnen voor beveiliging, zoals richtlijnen 
voor beveiliging van webapplicaties. Er wordt tenminste getest op bekende kwetsbaarheden zoals 
vastgelegd in de OWASP top 10. 

Web applicaties worden voor de in productie name onder meer getest op invoer van gegevens 
(grenswaarden, format, inconsistentie, SQL injectie, cross site scripting, etc.). 

De uitvoerfuncties van programma's maken het mogelijk om de volledigheid en juistheid van de gege¬ 
vens te kunnen vaststellen (bijv. door checksums). 

Alleen gegevens die noodzakelijk zijn voor de gebruiker worden uitgevoerd (doelbinding), rekening 
houdend met beveiligingseisen (classificatie). 

Toegang tot de broncode is beperkt tot de medewerkers, die deze code onderhouden of installeren. 

Technische kwetsbaarheden worden regulier met een minimum van 4 keer per jaar gerepareerd door 
'patchen' van software, of 'ad hoe' bij acute dreiging. Welke software wordt geüpdatet wordt mede 
bepaald door de risico's. 

Encryptie (versleuteling) 

De gemeente gebruikt encryptie conform PKI-overheid standaard. 

Intern dataverkeer ('machine to machine') wordt conform classificatie beveiligd met certificaten. 
Beveiligingscertificaten worden centraal beheerd binnen de gemeente. 

Beveiligingsincidenten 

Risico's 

Als incidenten niet geregistreerd worden, is niet duidelijk waar en wanneer er zich incidenten voor 
doen of voor hebben gedaan. Op deze wijze kan er geen lering worden getrokken uit deze incidenten 
om deze in de toekomst te voorkomen of om preventief betere maatregelen te implementeren. 

Doelstelling 

Bewerkstelligen dat informatiebeveiligingsgebeurtenissen en zwakheden, die verband houden 

met informatiesystemen zodanig kenbaar worden gemaakt dat tijdig corrigerende maatregelen kunnen 
worden genomen. 

Formele procedures voor rapportage van gebeurtenissen en escalatie. Alle werknemers, ingehuurd 
personeel en externe gebruikers zijn op de hoogte van deze procedures voor het rapporteren van de 
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verschillende soorten gebeurtenissen en zwakke plekken die invloed kunnen hebben op de beveiliging 
van de bedrijfsmiddelen. 

Er is een verplichte meldingssystematiek in werking om alle informatiebeveiligingsgebeurtenissen 
en zwakke plekken zo snel mogelijk te rapporteren aan de aangewezen contactpersoon. 

Melding en registratie 

De medewerker dient geconstateerde of vermoede beveiligingslekken en beveiligingsincidenten direct 
te melden bij de functionaris informatiebeveiliging van de gemeente. 

Beveiligingsincidenten die worden gemeld bij de service desk, worden als zodanig geregistreerd en 
voorgelegd aan de security functionaris binnen ICT. Voor afhandeling geldt de reguliere rapportage en 
escalatielijn. 

Afhankelijk van de ernst van een incident is er een meldplicht bij het College Bescherming Persoonsge¬ 
gevens. 

Ernstige incidenten, waarbij een alarmfase (zie onder) in werking treedt, worden opgenomen in de 
kwartaalrapportage van de CISO. 

Alarmfasen 

Bij grote incidenten wordt gehandeld en opgeschaald conform de draaiboeken ICT- crisisbeheersing. 


Alarm 

fase 

1 

2 


3 


4 


Kenmerk Impact 


Opschaiing 


Bijzonderheden 


Lokaal ICT-incident Oplosbaar probleem: In beginsel niet. Probleem wordt 

bij één afdeling. bronbestrijding. opgelost door ICT. 


ICT-Incident bij Nog steeds een geïsoleerd In beginsel niet. Probleem wordt 

meerdere afdelingen, probleem: bron- +effect- opgelost door ICT. 
bestrijding. 


Melding aan CISO 

Melding aan CISO. 

Melding bij IBD indien nodig. Ge¬ 
meentelijke communicatie is optio¬ 
neel. 


Concernbreed ICT-in- Impact op de gemeentelij- Kernteam komt bij elkaar. Afhan- 
cident (en mogelijk ke dienstverlening wordt kelijk van het incident (impact) 
andere gemeenten) echt ervaren. treedt de GRIP structuur in wer¬ 

king. Bestuur, CIO en directies 
worden geïnformeerd. 


Melding aan CISO. Melding bij IBD 
(indien nodig). Gemeentelijke afde¬ 
ling communicatie is vereist. 


ICT-Incident is con¬ 
cern overstijgend 
(landelijk) 


Impact op de gemeentelij- Mogelijk treedt de GRIP struc- 
ke dienstverlening is mani- tuur in werking. Het kernteam 
fest. is dan in beginsel adviserend en 

voert desgewenst coördinatie 
(binnen het ICT domein). 


Er is sprake van landelijke opschaiing 
via de technische lijn (IBD NCSC) of 
via de maatschappelijke lijn (NCC). 


Bedrijfscontinuïteit 


Risico's 


Wanneer er niet of nauwelijks invulling gegeven wordt aan de continuïteitsplanning is er naast een 
vals gevoel van veiligheid, ook grote kans op ad hoe maatregelen als een calamiteit zich voordoet. 

Het uitvallen van medewerkers (ziekte, sterven, ontslag) kan een reële bedreiging zijn. 

Doelstelling 

Onderbreken van bedrijfsactiviteiten tegengaan en kritische bedrijfsprocessen beschermen 

tegen de gevolgen van omvangrijke storingen in informatiesystemen of rampen en om tijdig herstel 
te bewerkstelligen. 

Een adequaat beheerproces van bedrijfscontinuïteit om de uitwerking op de organisatie, veroorzaakt 
door het verlies van informatie en het herstellen daarvan tot een aanvaardbaar niveau te beperken. 

Informatiebeveiliging is een integraal onderdeel van het totale bedrijfscontinuïteitsproces en andere 
beheerprocessen binnen de organisatie. 

Elk gemeentelijke afdeling voert een business impactanalyse uit. Afhankelijk van de bevindingen worden 
per afdeling vervolgacties gepland. 
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Elke afdeling heeft een eigen plan voor Business Continuity Management (BCM) (bedrijfscontinuïteits- 
beheer). In de continuïteitsplannen wordt minimaal aandacht besteed aan: 

° Risico's; 

o Identificatie van essentiële procedures voor bedrijfscontinuïteit; 

o Wie het plan mag activeren en wanneer, maar ook wanneer er weer gecontroleerd wordt terug¬ 
gegaan; 

o Veilig te stellen informatie (aanvaardbaarheid van verlies van informatie); 
o Prioriteiten en volgorde van herstel en reconstructie; 

o Documentatie van systemen en processen; 

o Kennis en kundigheid van personeel om de processen weer op te starten. 

Er worden minimaal jaarlijks oefeningen of testen gehouden om de BCM plannen te toetsen (opzet, 
bestaan en werking). Aan de hand van de resultaten worden de plannen bijgesteld en wordt de organi¬ 
satie bijgeschoold. 



Er zijn voor de belangrijkste processen en systemen continuïteits-Zuitwijkplannen welke door middel 
van een beheerst proces tot stand komen. 

Continuïteitsplannen moeten regelmatig worden getest en actueel worden gehouden. 

Naleving 

Voorkomen van schending van enige wetgeving, wettelijke en regelgevende of contractuele verplich¬ 
tingen, en van beveiligingseisen. 

Organisatorische aspecten 

Het verbeteren van de kwaliteit van informatieveiligheid is een continu proces en onderdeel van alle 
gemeentelijke processen waarin wordt gewerkt met gevoelige informatie. Informatieveiligheid is een 
kwaliteitskenmerk van het primaire proces, waarop het management van elke afdeling stuurt. De kwa¬ 
liteit wordt gemeten aan: 

o de mate waarin een volledige set aan maatregelen is geïmplementeerd, gebaseerd op vastgesteld 
beleid; 

o efficiency en effectiviteit van de geïmplementeerde maatregelen; 

o de mate waarin de informatiebeveiliging het bereiken van de strategische doelstellingen onder¬ 
steunt. 

De CISO zorgt namens de gemeentesecretaris voor het toezicht op de uitvoering van het IB-beleid. 

ICT en externe hosting providers leggen verantwoording af aan hun opdrachtgevers over de naleving 
van het IB-beleid. Bij uitbestede (beheer)processen kan een verklaring bij leveranciers worden opgevraagd 
(TPM of ISAE3402-verklaring). 

Naleving van regels vergt in toenemende mate ook externe verantwoording, bijvoorbeeld voor het 
gebruik van DigiD, SUWI en GBA. Aanvullend op dit concern IB-beleid kunnen daarom specifieke normen 
gelden voor clusters. 
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Periodiek wordt de kwaliteit van informatieveiligheid in opdracht van de CIO onderzocht door gemeen¬ 
telijke auditors en door onafhankelijke externen (bijvoorbeeld door middel van 'penetratietesten'). 
Jaarlijks worden ca. 3 audits/onderzoeken gepland. De bevindingen worden gebruikt voor de verdere 
verbetering van de informatieveiligheid. 

In de P&C cyclus wordt gerapporteerd over informatieveiligheid aan de hand van het 'in control' state¬ 
ment. 

Er wordt een beveiligingsdocumentatiedossier aangelegd en onderhouden. Dit dossier bevat alle rele¬ 
vante verplichte en niet verplichte documenten waaruit blijkt of kan worden aangetoond dat aan de 
specifieke beveiligingseisen is voldaan. 

(Wettelijke) kaders 

Een overzicht van relevante wet en regelgeving is te vinden bij KING. Zo is het gebruik van persoons¬ 
gegevens geregeld in de Wet Bescherming Persoonsgegevens. 

Voor elk type registratie wordt de bewaartermijn, het opslagmedium en eventuele vernietiging bepaald 
in overeenstemming met wet, regelgeving, contractuele verplichtingen en bedrijfsmatige eisen. Bij de 
keuze van het opslagmedium wordt rekening gehouden met de bewaartermijn, de achteruitgang van 
de kwaliteit van het medium in de loop van de tijd en de voortdurende beschikbaarheid van hulpmid¬ 
delen (zoals hard- en software) om de gegevens te raadplegen en te bewerken. 

Bij het (laten) vervaardigen en installeren van programmatuur, wordt er voor gezorgd dat de intellectu¬ 
ele eigendomsrechten die daar op rusten niet worden geschonden. 

Bijlage: Relevante documenten en bronnen 


Intern 


De gemeente kan hier zelf verwijzen naar eigen standaarden en procedures. Vanuit VNG/KING worden 
in 2013 nog meerdere producten geleverd die hier benoemd kunnen worden. 

Algemene Inkoop Voorwaarden, gemeente <gemeentenaam> . 


Extern 


NEN/ISO 27001 (2005) en 27002 (Code voor Informatiebeveiliging) (2007) 

Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG), KING, 2013 

° Strategische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) 

° Tactische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) 

CBP richtsnoeren 'beveiliging van persoonsgegevens', 2013: http://www.cbpweb.nl/Pa- 
ges/pb_20130219_richtsnoeren-beveiliging-persoonsgegevens.aspx 

GEMMA: http://www.kinggemeenten.nl/king-kwaliteitsinstituut-nederlandse-gemeenten/e-dienstverlening- 
verbeteren/gemma 
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